GDPR

Adatvédelem mindenkinek / Data protection for everyone

Az Európai Adatvédelmi Testület vizsgálja az érintetti jogokat korlátozó magyar Kormányrendeletet

2020. május 11. 09:00 - poklaszlo

Az Európai Adatvédelmi Testület múlt heti plenáris ülésén a magyar adatvédelmi hatóság (NAIH) beszámolt a Kormány május 4-én kihirdetett rendeletéről, amely korlátozta az érintetti jogok gyakorlását a koronavírussal összefüggő adatkezelésekkel kapcsolatban (179/2020. (V. 4.) Korm. rendelet). A Testület további tájékozódást tartott szükségesnek a témában, így a soron következő ülésen további részletekről kért tájékoztatást a NAIH-tól.  

Milyen korlátozásról van szó?

A Korm. rendelet 1. §-a kimondja, hogy a veszélyhelyzet megszűnéséig a koronavírusos megbetegedések megelőzése, megismerése, felderítése, valamint továbbterjedésének megakadályozása érdekében – ehhez kapcsolódóan az állami szervek összehangolt feladatellátásának megszervezését is ideértve – az ezen adatkezelési célból kezelt személyes adat kezelése tekintetében
a) a GDPR III. fejezete [amely az érintett jogairól rendelkezik], valamint
b) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) 14. §-a alapján az érintettet megillető jogok gyakorlását a Korm. rendeletben meghatározott eltérésekkel kell biztosítani.

A Korm. rendelet szerint az érientettek által a jogaik gyakorlása érdekében benyújtott kérelem alapján teendő minden intézkedést a veszélyhelyzet megszűnéséig fel kell függeszteni, ezen intézkedésekre irányadó határidők kezdő napja a veszélyhelyzet megszűnésének napját követő nap. Az érintettet erről a veszélyhelyzet megszűnését követően haladéktalanul, de legkésőbb a kérelem beérkezésétől számított kilencven napon belül tájékoztatni kell.

A tájékoztatási jog kapcsán a Korm. rendelet kimondja, hogy az adatkezelésekre vonatkozó előzetes tájékoztatást (lásd GDPR 13. és 14. cikk, illetve Infotv. 16. § (1) és (2) bekezdése) teljesítettnek kell tekinteni, ha a Korm. rendeletben meghatározott célból végzett adatkezelés (azaz a koronavírus járvánnyal összefüggő adatkezelés) esetében

  • az adatkezelés céljait,
  • jogalapját és
  • terjedelmét

közérthető formában rögzítő általános tájékoztató elektronikus úton közzétett módon az érintett rendelkezésére áll.

A jogérvényesítés kapcsán pedig kimondja a rendelet, hogy a GDPR 77–79. cikkében, továbbá az Infotv. 22. §-ában, 23. §-ában, valamint 52. § (1) bekezdésében meghatározott jogok érvényesítése esetén a bejelentés, kérelem, illetve keresetlevél alapján meginduló eljárás határidejének kezdő napja a veszélyhelyzet megszűnésének napját követő nap (azaz az adatvédelmi vizsgálati és hatósági eljárások, valamint a bírósági eljárások csak a veszélyhelyzet megszűnését követően indulhatnak el).

Lehetséges egyáltalán az érintetti jogok korlátozása?

A GDPR lehetőséget ad az érintetti jogok korlátozására, azonban ennek szigorú feltételei vannak.

A GDPR 23. cikke szerint az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a GDPR 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint feltétel az is, hogy a korlátozás szükséges és arányos intézkedés legyen egy demokratikus társadalomban, a GDPR-ban meghatározott, kiemelten védendő területeken történő állami intézkedések érdekében. Ezen területek közé tartozik, többek között, a nemzetbiztonság, a közbiztonság, az érintett védelme vagy mások jogainak és szabadságainak védelme. 

A jogok gyakorlását korlátozó jogalkotási intézkedésnek legalább az alábbiakról kell részletes rendelkezéseket tartalmaznia: 

  • az adatkezelés céljaira vagy az adatkezelés kategóriáira,
  • a személyes adatok kategóriáira,
  • a bevezetett korlátozások hatályára,
  • a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,
  • az adatkezelő meghatározására vagy az adatkezelők kategóriáinak meghatározására,
  • az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,
  • az érintettek jogait és szabadságait érintő kockázatokra, és
  • az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját.

Az Infotv. szűkszavúbb a korlátozás lehetősége kapcsán, az előzetes tájékoztatás, a hozzáférés, illetve az érintetti kérelem elutasításának okairól való tájékoztatás vonatkozásában biztosítja kifejezetten a korlátozás lehetőségét, igaz, hogy az adatkezelőre bízva ezt, a törvényben meghatározott feltételek teljesítése mellett. 

A Testület - éppen a fenti szigorú feltételekre is tekintettel - atekintetben kért további tájékoztatást a NAIH-tól, hogy 

  • mi a terjedelme a bevezetett korlátozásnak, 
  • milyen időtartamra szól, illetve
  • mi a NAIH véleménye a korlátozás szükségességéről és arányosságáról?

Miért van szükség a GDPR és az Infotv. alapján is gyakorolható érintetti jogok gyakorlásának korlátozására?

A kérdésre a válasz a két jogszabály hatályában keresendő. A GDPR-t - meghatározott kivételekkel (lásd 2. cikk (2) bekezdés) - a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni (lásd GDPR 2. cikk). Az Infotv-be kerültek átültetése a 2016/680/EU irányelv rendelkezései és ennek megfelelően a személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére az Infotv-t kell alkalmazni (lásd Infotv. 2. § (3) bekezdés). 

(Az Infotv. egyes rendelkezéseit a GDPR alkalmazása esetén is figyelembe kell venni, illetve a GDPR és az Infotv. meghatározott rendelkezéseit rendeli alkalmazni az Infotv. azokra az adatkezelésekre is, amelyek nem esnek a GDPR hatálya alá, de nem minősülnek  bűnüldözési, nemzetbiztonsági és honvédelmi célú adatkezelésnek sem.)

Az érintetti jogok Korm. rendelet szerinti korlátozása tehát alkalmazandó, függetlenül attól, hogy az adatkezelésre mely jogszabály tárgyi hatálya terjed ki. A Korm. rendelet ugyanis nem e szerint tesz különbséget, hanem az adatkezelés célja szerint ragadja meg azokat az adatkezeléseket, amelyek tekintetében a korlátozás alkalmazandó. 

Mi történik a Korm. rendelet kihirdetése előtt már benyújtott kérelmekkel?

A Korm. rendelet kifejezetten kimondja, hogy az érintetti jogok korlátozására vonatkozó rendelkezéseket a rendelet hatálybalépésekor már folyamatban lévő adatkezelésekre, az ehhez kapcsolódó kérelmekre, tájékoztatásokra, illetve eljárásokra, valamint is alkalmazni kell.

Frissítés (2020.06.07.): Az Európai Adatvédelmi Testület június 2-án állásfoglalást adott ki az érintetti jogok veszélyhelyzet alatti korlátozásáról (az állásfoglalás elérhető itt angolul).  

Szólj hozzá!
Címkék: portfolioblogger Magyarország HU Rendelet érintetti jogok Európai Adatvédelmi Testület koronavírus

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr6415678380

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása